password
comment
type
status
date
slug
summary
tags
category
icon
核心警告:网段冲突回避
在开始前,必须确保两端 LAN IP 网段不同:
- 路由器 A:10.0.1.1 (网段 10.0.1.0/24)
- 路由器 B:10.0.0.1 (网段 10.0.0.0/24)
- 注意:如果两边都是
192.168.1.x,请务必修改其中一方,否则路由冲突无法互访。
第一阶段:一键安装 Tailscale
在两台路由器的 SSH 终端中分别执行:
第二阶段:配置启动参数
根据你的网络环境选择对应的启动指令:
情况 A:如果你使用了 OpenClash (推荐)
为了防止 Tailscale 的自动规则干扰代理分流,我们需要接管其防火墙权限。
- 路由器 A:
- 路由器 B:
情况 B:如果你没有使用 OpenClash (纯净系统)
可以使用标准模式,让配置更自动化。
- 路由器 A:
- 路由器 B:
第三阶段:Web 后台授权
- 登录 Tailscale 管理后台。
- 找到新加入的设备,点击 ... -> Edit route settings。
- 勾选对应的子网(如
10.0.x.0/24)并保存。
- 建议点击 Disable Key Expiry,防止密钥过期导致断网。
第四阶段:OpenWrt 防火墙与接口配置
这一步是打通“下挂设备”(如 NAS、手机)互访的关键。
1. 通用步骤:创建接口
- 前往 网络 -> 接口 -> 添加新接口。
- 名称:
tailscale| 协议:不配置协议| 设备:手动输入tailscale0。
2. 根据环境配置防火墙
环境类型 | 防火墙操作方法 | 关键设置点 |
有 OpenClash | 合并进 LAN 区:进入“防火墙-区域-lan”,在“涵盖的网络”中勾选 tailscale。 | 原因:让 Tailscale 流量伪装成局域网流量,绕过插件拦截。 |
无 OpenClash | 独立 TS 区域:新建名为 ts 的区域,涵盖 tailscale 接口。 | 必做:将入站/出站/转发设为“接受”,勾选“IP动态伪装”和“MSS钳制”。 |
第五阶段:OpenClash 专项适配 (仅限有插件用户)
如果你开了 OpenClash 却发现无法 Ping 通对端,请检查:
- 绕过私有 IP:进入 OpenClash 设置 -> 访问控制,将对方的网段(如
10.0.0.0/24)加入“不通过代理的 LAN IP”。
- 自定义 DNS:在 OpenClash DNS 设置中,添加
100.100.100.100为上游 DNS,以解析 Tailscale 内部域名。
第六阶段:验证效果
- 路由器对端 Ping:在路由器 A 的 SSH 输入
ping 10.0.0.1。
- 子设备互访:手机连接 A 路由 WiFi,尝试访问 B 路由下的 NAS IP。
- 作者:Cheng
- 链接:https://tangly1024.com/article/openwrt-tailscale-site-to-site
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
